![Page 1: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/1.jpg)
Parceiro
Segurança em aplicativos móveis de
comunicação
![Page 2: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/2.jpg)
2
Tiago Tavares• Bacharel em Sistemas de Informação / UNIFIEO, Osasco• Pós-graduado em Gerenciamento de Redes e Segurança da
Informação / UNIFIEO, Osasco• 12 anos de experiência em TI, sendo 5 focados em Segurança da
Informação.• Entre as principais certificações estão LPI-2, ComTIA Security+,
CEH e CISSP.
@tiagotvrs
![Page 3: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/3.jpg)
3
• Official (ISC)2 Guide to the CISSP CBK, 4th Edition.
• The Mobile Application Hacker’s Handbook• Cyber Security Principles: Mobile Devices –
Security Hazards and Threats
Referências bibliográficas
![Page 4: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/4.jpg)
FatoDispositivos móveis têm o potencial de se tornarem a maior ameaça de
vazamento de informações confidenciais.
![Page 5: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/5.jpg)
Objetivos
• Introdução• Ameaças, Vulnerabilidades e Riscos• Test/Analysis modus operandi
– Cases– Pentesting
• Mundo corporativo• Conclusão
![Page 6: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/6.jpg)
Introdução• Os aplicativos para mobile tem sido criados para as todas as funções
imagináveis, e a cada dia surge uma novidade. Os marketplaces da Apple and Google contêm cerca de 2 milhões de aplicativos disponíveis juntos.– Transações bancárias (Bancos, corretoras)– Transporte (Uber)– Locação de acomodações (Airbnb)– Compras (Amazon)– Redes Sociais (Facebook)– Streaming (Spotify)– Jogos de azar (Betfair)– Mensagens instantâneas (WhatsApp)– Voice chat (Skype)– E-mail (Gmail)– Compartilhamento de arquivos(Dropbox)– Games (Angry Birds)
![Page 7: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/7.jpg)
Introdução • Houve uma convergência na necessidade do desenvolvimento visando
atender o e-commerce, habilitando os usuários a realizar transações como compra de produtos, compra de ingressos, ponto de venda, transações bancárias e etc.
• Mas assim como em desktops, o mundo mobile está suscetível aos tradicionais spywares, trojans e software mal escrito.
• Dispositivos móveis e seus aplicativos foram desenhados para trabalhar sobre todo o espectro pessoal do usuário, fazendo com que os riscos sejam diferentes da computação tradicional.
![Page 8: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/8.jpg)
Ameaças, Vulnerabilidades e Riscos
![Page 9: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/9.jpg)
O futuro do mobile (números, números...)
• Usuários até 2025: 5.4 bi (66% da população mundial baseado no crescimento dos usuários de Internet)
• Utilização do mobile em transações até 2017: US$ 450 mi– Ate 2020, 50% das transações serão feitas pelo mobile, e em 2025 80%.
• Adoção do mobile até 2017 (Reino Unido):– Smartphones – 96%– Tablets – 53%
• IoT – Até 2019 serão 17 bi de dispositivos smart ligados à rede.
Fonte: www.three.co.uk
![Page 10: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/10.jpg)
Vetores de ataque
Fonte: www-935.ibm.com
![Page 11: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/11.jpg)
O Dispositivo
1) Browser• Phishing• Framing• Clickjacking• Man In The Middle• Buffer Overflow• Data Caching
2) Telefone/SMS• Baseband attack• Smishing
3) Apps• Sensitive Data Storage• No/Weak Encryption• Improper SSL Validation• Config manipulation• Dynamic Runtime injection• Unintended permissions• Escalated privileges• Access to devices and User
Info
Anatomia dos ataquesA Rede
1. A rede• Wi-fi (no/weak
encryption)• Rogue Access point• Packet sniffing• Man in the middle• Session hijacking• DNS poisoning• SSLStrip• Fake SSL Certificate
O Data Center
1) Web Server• Vulnerabilidades nas
plataformas • Má configuração• Cross-site scripting (XSS)• Cross-site request
Forgery (XSRF)• Weak Input Validation• Brute Force Attacks
2) Database• SQL Injection• Privilege scalation• Data dumping• OS Command Execution
![Page 12: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/12.jpg)
O que o hacker ganha com tudo isso?
• Monitoramento– Audio – Camera– Histórico de chamadas– Localização– Mensagens SMS
• Financeiro– Smishing– Ransomware– Roubo de Transaction Authentication
Numbers (TAN)
• Atividade de Botnet – Ataque DDoS– Fraude em clique
• Roubo de informação• Dados do usuário• Contatos • Roubo de dados explorando
vulnerabilidade de apps• Roubo de International Mobile
Equipment Identity Number (IMEI)
• Personificação• Redirecionamento de SMS• Envio de E-mails• Postagem em mídias sociais
Dados = poder = $$$
Lei Carolina Dieckmann12.737/2012
![Page 13: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/13.jpg)
Infelizmente...• 16mi de dispositivos mobile são infectados
todos os dias
• 6 a cada 20 ameaças são spyphones;
• 14% das residências estão infectados com malwares.
Fonte: Alcatel-Lucent.com
![Page 14: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/14.jpg)
Segurança no desenvolvimento• Desenvolvedores não têm ciência dos riscos
– Falta de testes nos mais diversos cenários– Devem ter ciência que não pode confiar em nada (dispositivo, usuário,
rede)– Muitos acreditam que não precisam criptografar ou proteger os dados
no dispositivo, pois a criptografia no transporte do dado já seria suficiente.
• Tempo e $$$– Baixos orçamentos tornam a entrega mais importante que a qualidade– Mesmo em projetos com a presença de um time de segurança, o
escasso tempo de análise torna o trabalho desafiador.– Métodos de desenvolvimento com o Agile, na qual há muitas
interações em curto espaço de tempo pode intensificar este desafio.
![Page 15: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/15.jpg)
Segurança no desenvolvimento
• Surgimento de novos vetores– As pesquisas avançam e novas vulnerabilidades são
encontradas• Desenvolvimento customizado
– Quando se está desenvolvendo múltiplas aplicações, os componentes que são adequadamente testados são reutilizados em diversos projetos. Isso torna o código do projeto mais robusto e seguro.
– Quando há a má utilização destes códigos, vulnerabilidades podem surgir.
![Page 16: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/16.jpg)
OWASP Top 10
Fonte: www.owasp.org
• A Open Web Application Security Project (OWASP) é uma organização sem fins lucrativos cujo foco é ajudar na pesquisa desenvolvimento de software seguro.
• O projeto provê recursos gratuítos onde classificam cada risco desenvolvem documentos sobre controles que ajudam a mitigar estes riscos.
![Page 17: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/17.jpg)
OWASP Top 10 for Mobile• Weak Server Side Controls
– Bastidores bagunçado.• Insecure Data Storage
– Achou que área não seria invadida, lá vem o jailbreak/root...• Insufficient Transport Layer
– Tráfego sem criptografia.• Unintended Data Leakage
– Sem querer querendo o desenvolvedor deixou tudo aberto.• Poor Authorization and Authentication
– Esquema de autenticação ruim, aí tá tudo autorizado.
![Page 18: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/18.jpg)
OWASP Top 10 for Mobile• Broken Cryptography
– Pra quê AES e 3DES se eu posso criar meu algoritmo?• Client Side Injection
– Execução de código malicioso no mobile via apps.• Security Decisions via Untrusted Inputs
– Quando cookies, variáveis de ambiente e campos ocultos são manipulados
• Improper Session Handling– Controle de sessão adequada (criar, manter e destruir tokens)
• Lack of Binary Protection– Não proteger o binário traz riscos ao negócio
![Page 19: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/19.jpg)
OWASP great tools!
• iMAS – recursos para ajudar os desenvolvedores a produzirem software de forma segura
• GoatDroid – Ambiente de treinamento para afiar os estudos no OWASP Top 10: FourGoats (rede social), HerdFinancial (banco).
• Damn Vulnerable iOS – similar ao GoatDroid• MobiSec – Distribuição live com ferramentas de
testes em aplicações mobile• Androick – ambiente para testes automáticos.
Fonte: https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#tab=Mobile_Tools
![Page 20: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/20.jpg)
Test/Analysis modus operandi
![Page 21: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/21.jpg)
Tipos de Análise
• Análise dinâmica– Debugar o aplicativo em uso– Analisar tráfego de rede– Analisar os serviços remotos (http/soap, etc)
• Análise estática– Obter o aplicativo (extrair do device ou receber
dos desenvolvedores)– Revisão de código– Engenharia reversa
![Page 22: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/22.jpg)
CaseiFood
Identificado pelo pesquisador Igor Rinconhttps://m4dwolf.wordpress.com/
Responsible Disclosure
Noticiado em:http://g1.globo.com/tecnologia/blog/seguranca-digital/post/falha-em-site-de-delivery-ifood-permitia-alterar-precos-de-pedidos.html
![Page 23: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/23.jpg)
Vulnerabilidade no iFood
Por Igor Rincon:
Durante análise, notou-se que a maioria da comunicação do aplicativo iFood é baseado em formato JSON.
Fonte: https://m4dwolf.wordpress.com/
![Page 24: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/24.jpg)
Vulnerabilidade no iFood
• Selecionado alguns objetos no menu e adicionados ao carrinho
Fonte: https://m4dwolf.wordpress.com/
![Page 25: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/25.jpg)
Vulnerabilidade no iFood
• Pode-se observar acima o preço de cada produto e também o preço do produto final R$ 267,20.A falha está na possibilidade de modificação destes preços dentro do envio (POST) quando clicamos para verificar nosso Carro de Compra, segue exemplo:
Fonte: https://m4dwolf.wordpress.com/
![Page 26: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/26.jpg)
(Requisição para chamar o carro de compras em ASCII – Formato JSON)
Fonte: https://m4dwolf.wordpress.com/
![Page 27: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/27.jpg)
Vulnerabilidade no iFood
• Alterando os parâmetros através da ferramenta BURP SUITE, temos esse retorno:
• A vulnerabilidade pode ser explorada de forma até a finalização do pedido.
• O pesquisador solicitou cancelamento do pedido e alertou a empresa sobre a vulnerabilidade, que foi corrigida no dia seguinte.
Fonte: https://m4dwolf.wordpress.com/
![Page 28: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/28.jpg)
Case #2Hackeando ao vivo
Código malicioso em aplicação instalada permitindo acesso remoto e controle total do celular
![Page 29: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/29.jpg)
29
Hacking alive!
• Qualquer celular Android• Metasploit• Web Server (Apache, IIS, Nginx)
![Page 30: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/30.jpg)
30
Malware payload
1 – Atacante disponibiliza aplicativo maliciosono webserver(Novo/Atualização)
2 – Atacante engana vítima
(Marketplace, phishing, smishing, etc)
3 – Vítima baixa aplicativo/atualização
4 – Vítima abre conexão com o atacante
que ganha acesso remoto ao celular
![Page 31: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/31.jpg)
31
Vulnerabilidades
• Instalar aplicativos sem buscar informações sobre eles• Falha de verificações de segurança no Marketplace• Root/Jailbreak, uma vez com acesso, tudo é possível• Os mesmos cuidados de sempre
• Phishing/smishing• Anti-vírus• Etc
![Page 32: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/32.jpg)
Mundo corporativoMDM
Mobile Device Management
![Page 33: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/33.jpg)
Mobile Device Management• O MDM vem ganhando maior relevância pela adoção
crescente do BYOD (Bring Your Own Device)• O aumento dos mais variados tipos de dispositivos
mobile como smartphones, notebooks, tablets e etc tem dificultado o processo de definição de políticas e o gerenciamento seguro destes dispositivos.
• O gerenciamento dos dispositivos móveis nada mais é do que uma política que ajuda a tratar estes dispositivos de forma cuidadosa, e mantendo-os seguros.
• Não confunda MDM como política e suas soluções.
![Page 34: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/34.jpg)
O que uma solução MDM basicamente deve ter?
• Bloquear remotamente o dispositivo quando perdido• Apagar todas as informações remotamente• Detectar se o dispositivo foi rooted ou jailbraked• Forçar políticas e rastrear inventário• Realizar monitoramento em tempo real e prover
relatórios
De forma mais completa, podemos obter um ciclo de vida de gerenciamento.
![Page 35: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/35.jpg)
MDM Lifecycle
ProductionDecommissionProvision
Manage• Recebe políticas• Recebe configurações• OTA delivery• Deployment de apps
Secure• Estabelece politicas• Política de senhas• Instala e criptografa dados• AV, firewall e outros controles
Secure• Desabilita dispositivo, redes e acesso
a aplicativos• Bloqueio remoto• Bloqueio por violação
Manage• Reprovision/reimage• Redeploy softwares• Restore data
Manage• Tracking• Update/reparo• Mantém/modifica confs• Distribui/update arquivos• License tracking• Schedule/automate actions• Controle remoto
Secure• Backup• Patch update• Policy enforcement• Monitoramento de
violações/ameaças• Complicance activity logging
![Page 36: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/36.jpg)
BYODBring Your Own Device
![Page 37: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/37.jpg)
BYOD
• BYOD é a política que permite um empregado utilizar seus equipamentos móveis pessoais no local de trabalho para acessar os recursos da companhia através de seus privilégios.
• O empregado fica felizão por utilizar um equipamento onde se sente confortável e que melhor atende seu trabalho.
![Page 38: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/38.jpg)
Benefícios
• Aumenta a produtividade• Satisfação do empregado• Flexibilidade no trabalho• Redução de custos
Work anytime, anywhere!
![Page 39: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/39.jpg)
Riscos• Compartilhamento de dados confidenciais em rede insegura• Exposição indevida do dispositivo• Misturar dados pessoais com corporativos• Falta de conscientização• Problemas de infraestrutura• Vazamento de informação• Prover suporte para inúmeros tipos de dispositivos• Perda ou roubo• Possibilidade “bypassar” políticas• Funcionários descontentes
![Page 40: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/40.jpg)
Políticas de implementação
Defina seus requisitos
Selecione os dispositivos suportados e construa um portfólio
tecnológico
Desenvolva políticas de uso aceitável
Segurança Suporte
![Page 41: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/41.jpg)
41
Conclusão• A popularidade dos smartphones modernos trouxe integração com
os mais variados tipos de tecnologias online. – Mas cuidado a falta de cuidado técnico, economia e problemas de
desenvolvimento tem trazido insegura• As vulnerabilidades encontradas nos apps são as mesmas da
computação tradicional, ou seja, os desenvolvedores de fato ainda não entendem boa parte dos problemas e não consideram os mais variados cenários.
• As vulnerabilidades ainda não são bem compreendidas, fazendo com que a maioria dos apps sejam vulneráveis a algum tipo de ataque.
• A evolução de novas tecnologias e suas integrações trazem novas vulnerabilidades, que se exploradas, trazem enormes riscos à pessoas e corporações.
![Page 42: Segurança em aplicativos móveis de comunicação - Cnasi 2016](https://reader033.vdocuments.site/reader033/viewer/2022050914/58ef02811a28abfe068b45fd/html5/thumbnails/42.jpg)
42
OBRIGADO!
@tiagotvrs